[Ratgeber] Was ist eigentlich eine Schatten-IT ?
Die Schatten-IT bezieht sich auf die Nutzung von IT-Tools, die nicht von der IT-Abteilung eines
Siemens und Schneider Electric haben in ihren Security Advisories vom Patch Tuesday März 2023 mehr als 100 Schwachstellen behoben. Von den sieben neuen Advisories von Siemens beschreiben die meisten von ihnen Schwachstellen von Drittanbieterkomponenten, die von Siemens-Produkten genutzt werden. Die meisten dieser Schwachstellen betreffen 65 von Linux Kernel, Busybox, OpenSSL und OpenVPN genutzte Komponenten, von denen 17 in Scalance-Geräten auftraten. Diese Schwachstellen können zu einem DoS-Zustand oder zur Codeinjektion führen oder sogar die Offenlegung von sensiblen Daten bewirken. Um einige der Schwachstellen zu beheben, hat Siemens zwar Aktualisierungen bereitgestellt, aber noch nicht alle Schwachstellen beseitigt.
Schneider Electric hat drei Advisories veröffentlicht, in denen insgesamt zehn Schwachstellen beschrieben werden. Eine dieser Advisories beschreibt eine kritische Sicherheitslücke in PowerLogic Power Metern. Ein weiteres Advisory beschreibt die Schwachstellen verschiedener Module von IGSS SCADA Produkten, die von DoS- und Remote-Code-Execution-Problemen betroffen sind. In der letzten Advisories informiert Schneider Electric über ein Problem des Session-Hijacking in EcoStruxure Power Monitoring-Produkten.
Es ist wichtig für KMUs des herstellenden Gewerbes, dass sie sich regelmäßig mit den Sicherheitslücken auseinandersetzen, die von Drittanbieterkomponenten in ihren Produkten verursacht werden können. Es ist ratsam, die neuesten Patches und Updates zu überwachen und sie unverzüglich bereitzustellen, um die Sicherheitsbedrohungen so gering wie möglich zu halten.
Dazu finden Sie jeweiligen Veröffentlichungen der o.g. Hersteller hier:
Siemens Advisories finden Sie unter diesem Link
Schneider Electric Advisories finden Sie unter diesem Link